Free Software Foundation выпустила рекомендации для производителей свободных ОС по обходу ограничений, накладываемых механизмом безопасной загрузки (Secure Boot) в прошивках нового поколения UEFI. В документе Фонд свободного ПО предупредил об опасностях, которые Secure Boot создаёт для движения СПО, и дал советы, как бороться с проблемой. Кроме того, активисты FSF подвергли критике существующие подходы к Secure Boot, которые применили дистрибутивы Fedora и Ubuntu.

Secure Boot — механизм защиты от вредоносного ПО на стадии загрузки ПК, заключающийся в проверке сертификатов безопасности загружаемых компонентов. OEM-производители аппаратного обеспечения, желающие поставлять ПК с Windows 8 и включенной Secure Boot, должны будут подписывать сертификаты ключом, выданным Microsoft. UEFI будет проверять наличие данного ключа и блокировать любое ПО, которое его не имеет.

Активисты FSF полагают, что из-за этого «безопасную загрузку» следует переименовать в «ограниченную загрузку» (Restricted Boot), так как данная политика сертификатов ограничивает запуск альтернативных операционных систем на ПК нового поколения.

FSF усматривает в стратегии внедрения Secure Boot желание Microsoft создать пользователям искусственный барьер для перехода с Windоws 8 на дистрибутивы Linux. Такое поведение является нарушением пользовательских свобод в целом и лицензии GPL в частности, пишет Фонд свободного ПО. Большинство ПК в мире поставляется с предустановленной Windows, и для того, чтобы распространять альтернативные ОС, нужно будет убеждать пользователей отключать Secure Boot, производить перезразбивку диска или удалять ОС от Microsoft, за которую заплачены деньги. Кроме того, возможность отключения Secure Boot предусмотрена только для платформы x86, в то время как на ARM-платформах (смартфоны, планшеты) такая опция отсутствует.

Выход из положения FSF видит в том, чтобы обеспечить установку альтернативных ОС без необходимости отключать Secure Boot. В документе Фонд свободного ПО рассматривает сценарии получения ключей, которые уже внедряют два популярных дистрибутива Linux: Fedora и Ubuntu. По мнению FSF, ни один из них не является удовлетворительным.

Подход Red Hat заключается в том, чтобы получить ключ у Microsoft и подписать им промежуточный загрузчик, который будет производить проверку сертификатов и затем передавать управление GRUB2, который уже и будет загружать Fedora. В том случае, если пользователь хочет использовать модифицированную сроку Fedora, ему предстоит самостоятельно приобрести ключ за $99.

FSF усматривает в этом две серьёзные проблемы. Во-первых, пользователи «официальной» Fedora будут вынуждены доверять сертификату, выданному Microsoft. Если удалить ключ от Microsoft, Fedora не сможет запуститься до тех пор, пока не отключена Secure Boot. Во-вторых, помимо финансового барьера в $99 (чуть больше 3 000 рублей), пользователю модифицированной сборки придётся преодолеть вступление в программу разработчиков Microsoft, что значит: подписать ряд ограничительных соглашений с Microsoft, предоставить нотариально заверенное подтверждение личности и кредитной карты, а также смириться с тем, что компания будет присылать уведомления и таргетированную рекламу.

Подход Canonical более разнообразен, так как компания разработала три различных направления решения проблемы. Компьютеры с предустановленной Ubuntu (Ubuntu Certified) будут иметь два ключа: ключ от Microsoft и собственный ключ, сгенерированный Canonical. CD c Ubuntu будут подписываться ключом от Microsoft. Образы системы, распространяемые через сайт Canonical, будут подписаны собственным ключом Canonical. Для того, чтобы обеспечить все эти возможности, компания идёт на решительный шаг: из новых релизов Ubuntu будет исключен загрузчик GRUB2, защищённый положениями лицензии GPLv3.

Последний пункт вызвал решительную критику со стороны FSF, который является владельцем авторских прав на GRUB2. Замена загрузчика на другой, с менее свободной лицензией, означает, что Canonical явно разрешает производителям аппаратного обеспечения ограничивать пользовательскую свободу в отношении установки модифицированного ПО. Фонд свободного программного обеспечения настоятельно советует Canonical остановиться, пока не поздно, и вернуть совместимость с GPLv3.

По мнению FSF, обе компании выбрали заведомо ложный подход к проблеме уже в том, что согласились играть по правилам Microsoft. Сам фонд решительно выступает и призывает разработчиков выступать за меры противодействия Secure Boot, такие как:

1. Кампания по сбору подписей за ограничение применения механизма Secure Boot, которую проводит FSF. Петицию, размещённую на сайте Фонда, подписало уже более 31 000 человек и 25 организаций, среди которых — проект Debian GNU/Linux;

2. Кампания по борьбе за введение возможности отключить Secure Boot на ARM-платформах по желанию владельца устройства. На данный момент условия сертификации Windows 8 этого не позволяют;

3. Проведение агитации среди производителей аппаратного обеспечения, чтобы те обязательно добавляли в UEFI возможность отключения Secure Boot, а также возможность добавления пользовательских ключей. Фонд отмечает, что при этом очень важно предоставить пользователям ясные и чёткие иструкции, как это сделать;

4. Борьба за добавление возможности удалять «чужие» ключи. Пользователь должен иметь возможность заменить ключ, одобренный Microsoft, на свой собственный;

5. Создание свободно доступного списка всего оборудования, поддерживающего Secure Boot, на сайте www.h-node.org. Ресурс будет предоставлять информацию о специфике имплементации безопасной загрузки для каждого устройства;

6. Сознательный выбор приобретаемого оборудования с учётом наличия Secure Boot, возможности его отключения и возможность добавлять собственные ключи (private keys).

Кроме того, FSF продолжит работать с поставщиками, согласившимися устанавливать на свои ПК дистрибутивы Linux. Поставкой компьютеров с полностью свободными предустановленными ОС занимаются такие производители, как Lemote, Freedom Included, ZaReason, ThinkPenguin, Los Alamos Computers, Garlach44 и InaTux.

Карта сайта: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34 Текст перед ссылками: интерьерная печать в челябинске ;Разделитель ссылок: samsung ремонт мобильных телефонов Текст после ссылок: